לממשלת אוסטרליה אין שאפתנות. בהשקת החדש שלו אסטרטגיית אבטחת סייבר 2023-2030 בנובמבר, היא טענה שהמסמך יספק מפת דרכים להפוך ל"מנהיג עולמי" בתחום עד תאריך הסיום. יש לה דרך ארוכה לעבור, לאור מבול של הפרות בפרופיל גבוה במהלך השנים האחרונות.
המסר שהוא שולח ברור: עבור ספקי תשתית קריטית (CNI) ויצרני טכנולוגיה, יהיו חובות חדשות שנועדו להעלות את הרף על אבטחת סייבר. לעסקים רגילים, מובטחת תמיכה ובהירות שנועדה לסייע בשיפור תקני האבטחה הבסיסיים.
ארגונים אוסטרליים צריכים, לפיכך, להסתכל על האסטרטגיה הממשלתית החדשה כהזדמנות. אלה שמתמודדים היום עם פערי אבטחה ימצאו שיש להם יותר זמן מחר להתמקד בהגדלת העסק שלהם במקום לדאוג לעמוד בדרישות הממשלה. עבור אלה שאינם מכוסים על ידי מנדטים ספציפיים, זה יכול להיות רגע שימושי לחזור ולעדכן את אסטרטגיית האבטחה.
מדוע אוסטרליה צריכה אסטרטגיית סייבר חדשה?
ארגונים אוסטרליים הם יעד פופולרי יותר ויותר עבור גורמי איומים הנתמכים על ידי מדינה ובעלי מוטיבציה כלכלית. מנהל האותות האוסטרלי (ASD) טענות כי במהלך שנת 2022-23, כמעט 94,000 דיווחים בוצעו לרשויות אכיפת החוק באמצעות ReportCyber. זה מסתכם באחת כל שש דקות - אם כי סביר להניח שרבות נוספות לא דווחו. הוא מדגיש מספר אתגרים:
⦁ גורמים ממלכתיים המכוונים לנכסי ממשלה ו-CNI לריגול והפרעות - במיוחד גניבה פוטנציאלית של IP הנובעת משותפות AUKUS
⦁ איום הולך וגובר על CNI מצד שחקנים מרוחקים, כמו הפשיטה נגד העולם DP
⦁ עלייה בתוכנות כופר והתקפות DDoS
⦁ הפרות נתונים עיקריות, כולל שמות גדולים כמו Optus, Medibank, Telstra ו-Latitude
⦁ המהירות שבה מנוצלות פגיעויות חדשות. ה-ASD אומר שאחד מכל חמישה נוצל תוך 48 שעות
לא רק שדיווחי פשעי סייבר עלו ב-23% בשנה, אלא שעלות כל תקרית עלתה ב-14%, אומר ה-ASD.
מה יש באסטרטגיית הסייבר?
אסטרטגיית אבטחת הסייבר האוסטרלית מורכבת משישה "מגני סייבר" המכסים את התחומים הבאים:
1) תמיכה בארגונים קטנים ובינוניים ובאזרחים לחיזוק אבטחת הסייבר
2) שיפור בטיחות הטכנולוגיה לאוסטרלים
3) יצירת רשת שיתוף וחסימת איומים ברמה עולמית
4) הגנה על תשתית קריטית
5) שיפור תעשיית אבטחת הסייבר המקומית וכוח העבודה
6) מתן מנהיגות אזורית וגלובלית עמידה
כל אחד מהמגנים הללו מכיל פריטי פעולה שונים המפורטים ברשימה של הממשלה תוכנית פעולה. מנקודת מבט של אבטחת מידע, החלקים החשובים ביותר באסטרטגיה הם מגן 1-4. הם כוללים תוכניות ממשלתיות ל:
מגן 1:
⦁ צור בדיקות תקינות והדרכה עבור עסקים קטנים ובינוניים
⦁ עבוד עם התעשייה כדי לתכנן במשותף חובת דיווח על תוכנות כופר ללא אחריות עבור עסקים
⦁ לספק לתעשייה מידע על חובות ממשל סייבר במסגרת הרגולציה הנוכחית
מגן 2:
⦁ עבודה עם התעשייה כדי לעצב שיתוף פעולה עם תקן אבטחת סייבר חובה ותוכנית תיוג מרצון
⦁ עיצוב משותף של קוד אבטחה מרצון עבור חנויות אפליקציות ומפתחי אפליקציות
⦁ לפתח מסגרת להערכת סיכוני ביטחון לאומי שמציגים מוצרים ושירותים של ספקים
⦁ לפתח אפשרויות להגנה על מערכי הנתונים הרגישים והקריטיים ביותר באוסטרליה, שאינם מוגנים כראוי במסגרת התקנות הקיימות
⦁ הטמעת אבטחת סייבר כדי להבטיח ש-AI מפותח ומשתמשים בו בצורה בטוחה ואחראית
⦁ הגדר סטנדרטים להצפנה פוסט קוונטית
מגן 3:
⦁ תמריץ את השתתפות התעשייה בפלטפורמות לשיתוף איומים
⦁ תמריץ חסימת איומים ברחבי הכלכלה, במיוחד בחברות CNI כמו חברות טלקום וספקיות אינטרנט
מגן 4:
⦁ יישר טלקום לאותם סטנדרטים כמו ישויות CNI אחרות
⦁ הבהרת הרגולציה של ספקי שירותים מנוהלים
⦁ שילוב רגולציית סייבר במגזרי התעופה והים
⦁ הגן על הנתונים הקריטיים של ספקי ה-CNI
⦁ להפעיל חובות אבטחת סייבר משופרות עבור "מערכות בעלות משמעות לאומית"
⦁ סיים מסגרת ניטור והערכה של תאימות עבור CNI
⦁ להרחיב את הסדרי התגובה למשבר
⦁ לחזק את בגרות הסייבר של משרדי ממשלה וסוכנויות, כולל אפס אמון
⦁ לייעד 'מערכות בעלות חשיבות ממשלתית' שיש להגן עליהן עם רמה גבוהה יותר של אבטחת סייבר
⦁ עריכת תרגילי אבטחת סייבר לאומיים ברחבי המשק
⦁ בניית ספרי משחק לתגובה לאירועים
מה צריכים ארגונים אוסטרליים לעשות?
בעוד שהדרישות המקובלות ביותר הן עבור חברות CNI וספקי טכנולוגיה, ישנם כמה ניצחונות מהירים שארגונים מכל הסוגים יכולים להשיג עבורם, לדברי ג'קלין ג'יין, תומכת המודעות לאבטחת APAC ב- KnowBe4.
"הפער הגדול ביותר הוא טיפול בטעויות אנוש, וזה עקבי בעולם", היא אומרת ל-ISMS.online. "אז יישמו תוכנית מתמשכת, רלוונטית ומרתקת למודעות אבטחה הכוללת הזדמנות ליישם את הידע החדש הזה עם פעילויות הנדסה חברתית מדומה."
שיטות עבודה מומלצות אחרות שקל להשגה כוללות הפעלת אימות רב-גורמי (MFA) ופריסה של מנהלי סיסמאות עבור סיסמאות חזקות וייחודיות, כמו גם הבטחת עדכונים אוטומטיים מופעלים, ושהנתונים יגובו באופן קבוע במצב לא מקוון. "נתונים לא רלוונטיים או מיושנים" צריכים להיות גם כן הצליח "באופן הולם" כדי למזער את החשיפה לסיכון, היא מוסיפה.
עבור Inversion6 CISO Damir Brescic, הנמל הראשון של ארגונים אוסטרליים צריך להיות הערכת סיכונים כדי לקבוע קו בסיס לזיהוי ותעדוף איומים. הצפנה של נתונים רגישים, פילוח רשת כדי להגביל את התפשטות ההתקפות, תכנון תגובה לאירועים, ניטור/ניתוח רציף של יומני אבטחה, ועמידה במדיניות הגישה של הרשאות המינימליות הם גם חשובים, הוא מוסיף.
"אם ארגון רוצה לשפר את עמדת אבטחת הסייבר הכוללת שלו, התחל עם מספר שיפורים וערוך סקירה שנתית כדי להבטיח שהיציבה הכללית שלך ממשיכה להשתפר ולהתבגר", הוא אומר ל-ISMS.online.
מנהל התמיכה הטכנית של Nozomi Networks, מרטי ריקארד, מזהיר מפני הסכנות של מכשירי "צל" שעלולים להיות לא מנוהלים ולא מתוקנים. "ככל שמכשירי IoT הופכים לשימוש נרחב יותר ומקובלים יותר, הסיכונים הקשורים בהם גדלים. סביר להניח שמכשירים עם מקור לקוי או לא ידוע יגרמו לכמויות וחומרות גבוהות יותר של פגיעויות וסיכונים", הוא אומר ל-ISMS.online.
"ארגונים צריכים להסתכל על הטמעת חשבונות תוכנה (SBOM) ותהליכי ניהול אבטחה של ספקים, לא רק עבור מכשירי IoT. התקנים אלה צריכים להיבחר בקפידה ולפרוס אותם במובלעות מאובטחות כראוי בתוך תשתית הארגון כדי להגביל את החשיפה וההשפעות הפוטנציאליות של ניצול של פגיעות לא ידועה."
כיצד ISO 27001 ומסגרות שיטות עבודה מומלצות יכולות לעזור
הרבה מהעצות לעיל תואמות את ההמלצות של ה-ASD אסטרטגיות לצמצום תקריות אבטחת סייבר. ה חיוני שמונה היא רשימה מצומצמת שתהיה ניתנת לניהול עבור ארגונים קטנים יותר ואלה הנמוכים יותר בסולם הבשלות הקיברנטית.
עם זאת, ארגונים גדולים יותר עשויים להפיק תועלת מתאימות לתקן ISO 27001. תקן מוכר עולמי זה מגדיר את הדרישות למערכת ניהול אבטחת מידע (ISMS). תאימות יכולה לעזור לשפר את האבטחה הבסיסית ולספק הבטחות שנכסים קריטיים מוגנים על פני 93 בקרות המקובצות תחת ארגונים, אנשים, פיזיים וטכנולוגיים.
"עסקים אוסטרליים זקוקים לתמיכה הן כדי להתגונן מפני איומים נפוצים והן לפתח את ביטחון הסייבר שלהם", טוען מנכ"ל CyberSmart, ג'יימי אחטר. "סטנדרטים כמו ISO 27001 יכולים לעזור להם לעשות זאת על ידי כך שהם מאפשרים להם לבנות תרבות של שיפור מתמיד עבור נוהלי אבטחת הסייבר שלהם - בסופו של דבר מה שהופך אותם ואת אוסטרליה להיות מצוידים יותר להילחם באיומי סייבר."
אם הממשלה מתכוונת לעמוד בשאיפות ה"מובילות בעולם", ארגונים אוסטרליים יצטרכו להיות פרואקטיביים בנוגע להפחתת סיכוני הסייבר. מסגרות וסטנדרטים בתעשייה יכולים להיות בעלי ברית חשובים במסע הזה.
"בין אם זה תאימות ל-ISO 27001, Essential Eight, NIST או כל מסגרת אחרת, כל ארגון צריך למצוא את הארגון המתאים ביותר שמתיישר עם הארגון שלו", מסכם ג'יין מ- KnowBe4.
